網絡安全標準體系研究

中國電子技術標準化研究院 姚相振 周睿康 范科峰

近年來，網絡空間形勢日趨復雜嚴峻，網絡安全事件頻繁發生，對我國網絡空間安全構成嚴重威脅，也對我國網絡空間安全防護帶來嚴峻挑戰。網絡安全標準化是網絡安全保障體系建設的戰略制高點，是維護國家利益和保障國家安全極為重要的技術支撐，是抓好網絡安全工作的重要切入點，網絡安全標準化工作應當符合產業發展需要，形成科學、合理的標準化體系，為網絡安全標準的研究、制定提供依據，發揮網絡安全標準在保障國家安全、促進產業發展、維護公民利益等方面的重要作用。

本文分析了國內外網絡安全現狀，研究了ISO/IEC、NIST相關網絡安全標準，并對國內外標準化體系進行了比對分析，研究提出了我國網絡安全標準體系框架。

網絡安全標準化現狀

1.國際標準化現狀

1.1 ISO/IEC JTC1研究現狀

ISO/IEC JTC1 SC27作為國際標準化組織（ISO）和國際電工委員會（IEC）聯合技術委員會（JTC1）下屬專門負責信息安全領域標準化研究與制定工作的分技術委員會，近年來密切跟蹤技術產業發展變化和發展需求，以云計算安全、虛擬化安全、隱私保護、工業控制系統安全、身份鑒別等為新的研究工作重點，在SC27層面設立了云計算安全和隱私保護專項研究課題。目前，SC27在研和制定的云計算安全標準包括：

（1）ISO/IEC 27017《基于ISO/IEC 27002的云計算服務應用的信息安全控制措施》，由WG1具體負責；

（2）ISO/IEC 27018《公有云中個人可識別信息處理者保護個人可識別信息的安全控制措施》，由WG5（身份管理和隱私保護）具體負責；……